Kişisel Verileri Koruma Kurulu Tarafından VERBİS Kayıt Provası Gerçekleştirildi 27 Eylül 2018

Dernekler, vakıflar, noterler, avukatlar, serbest muhasebeci ve yeminli mali müşavirler, siyasi partiler, 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri, arabulucular ve yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar hariç olmak üzere veri sorumlularının VERBİS’e kayıt olma yükümlülüğü bulunmaktadır.

Buna göre;

·     Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 1 Ekim 2018 olarak belirlenmiş ve VERBİS’e kayıt yaptırmaları için bu veri sorumlularına 30 Eylül 2019 tarihine kadar süre verilmiştir.
·     Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 1 Ekim 2018 olarak belirlenmiş ve VERBİS’e kayıt yaptırmaları için bu veri sorumlularına 30 Eylül 2019 tarihine kadar süre verilmiştir.
·     Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 1 Ocak 2019 olarak belirlenmiş ve VERBİS’e kayıt yaptırmaları için bu veri sorumlularına 31 Mart 2020 tarihine kadar süre verilmiştir.
·     Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 1 Nisan 2019 olarak belirlenmiş ve VERBİS’e kayıt yaptırmaları için bu veri sorumlularına 30 Haziran 2020 tarihine kadar süre verilmiştir.
Bu yükümlülüğe aykırı hareket edenler hakkında ise 20.000.-TL’den 1.000.000.-TL’ye kadar idari para cezası uygulanacaktır.

1 Ekim 2018 tarihinden itibaren hayata geçecek VERBİS’te kayıt oluşturma ve VERBİS üzerinden bildirimde bulunma işlemlerine yönelik olarak aşağıda bir ön bilgilendirme yapmak isteriz.

1. Veri Sorumlusu Kaydı Kim Tarafından Nasıl Gerçekleştirilecektir?
Kurul’un internet sitesinin ana sayfasında yer alan “VERBİS” butonuna tıklayarak “Veri Sorumlusu Yönetici Girişi” bölümünden bir hesap oluşturabileceksiniz. Hesabınıza giriş için gerekli olan kullanıcı adı ve şifre kayıt sırasında belirteceğiniz e-mail adresine kullanıcı adınız ve şifreniz gönderilecektir.
Kullanıcı adınız ve şifreniz ile birlikte hesabınıza giriş yaptıktan sonra ise veri sorumlusu kaydı gerçekleştirilecektir. Veri sorumlusu yöneticisinin platformda çeşitli yetkileri olduğundan veri sorumlusu kaydının şirket imza yetkilisi veya veri sorumlusu gerçek kişi ise gerçek kişinin kendi bilgileri üzerinden açılmasını tavsiye ederiz.

Veri kaydı sırasında “yurtiçinde yerleşik gerçek ve tüzel kişi veri sorumlusu”, “yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlusu” ve “kamu kurum ve kuruluşları” şeklindeki üç farklı veri sorumlusu tipinden size uygun olanını seçmeniz gerekmektedir. Veri sorumlusu portföyünün büyük bir kısmının yurtiçinde yerleşik gerçek ve tüzel kişi veri sorumlusu olması nedeniyle bundan sonraki bölümlerdeki adımlar bu veri sorumluları çerçevesinde anlatılacaktır.
İkinci adımda ise veri sorumlusunun vergi kimlik numarası/T.C. kimlik numarası ve bağlı olduğu vergi dairesi seçilerek veri sorumlusunun adı/unvanı otomatik olarak sistemden getirilecektir. Veri sorumlusunun e-posta adresi ve sabit veya GSM telefon numarası eklenecektir. E-posta adresi hesap bilgilerine erişim dahil olmak üzere hesapla ilgili tüm işlemler için kullanılacağından her zaman ulaşılabilen kurumsal bir e-posta adresi olmasını tavsiye ederiz. Adres numarası ise İçişleri Bakanlığı’nın sisteminden tespit edilerek eklenecektir.
KEP adresi eklenmesi zorunlu değildir, ancak veri sorumlusu kaydının tamamlanmasından sonra sistem tarafından “bildirim formu” otomatik olarak oluşturulacaktır. KEP adresi olan veri sorumluları bu formu KEP adresleri ile başvuru numarasını “konu” kısmına yazarak Kurul’a iletebilecekken KEP adresi olmayan sorumlular formun çıktısını ıslak imzalı olarak kargo veya PTT aracılığı ile Kurul’a ibraz etmek zorundadır.

2. İrtibat Kişisi Nasıl Atanacaktır?
Veri sorumlusu kaydının oluşturulması üzerine veri sorumlusu yöneticisi hesabı üzerinden irtibat kişisi belirleyebilecektir. İrtibat kişisi kişinin T.C. kimlik numarası ile birlikte MERSİS üzerinden otomatik olarak eklenebilecektir. İrtibat kişisi, veri sorumlusu adına veri girişlerini sisteme girecek kişi olacağından veri sorumlusu nezdinde işlenen verileri bilebilecek bir kişi olmasını tavsiye ederiz. Veri sorumlusu yöneticisi ile irtibat kişisi aynı kişi olabilecektir.
İrtibat kişisi sistem üzerinden her zaman değiştirilebilecektir.

3. İrtibat Kişisi Hesabına Nasıl Giriş Yapacaktır?
Kurul’un internet sitesinin ana sayfasında yer alan “VERBİS” butonuna tıklayarak “Veri Sorumlusu İrtibat Kişisi Girişi” bölümünden e-devlet şifresi aracılığıyla giriş yapabilecektir.
İrtibat kişisi daha sonrasında adres numarası, e-posta ve telefon bilgilerini profiline ekleyebilecektir. Bu bilgilerin profile eklenmesi zorunlu olup aksi takdirde veri girişi yapılamayacaktır.

4. Veri Bildirimi Nasıl Gerçekleştirilecektir?
Veri bildirimleri irtibat kişisi tarafından profiline giriş yapmak suretiyle sağ üst kısımda yer alan “Bildirim Yap” butonu aracılığıyla gerçekleştirilecektir. Açılan sayfada, irtibat kişisinin kendisini atamış olduğu veri sorumluları listesi yer alacaktır, bu sayfada hangi veri sorumlusu adına bildirim yapılacaksa o veri sorumlusu seçilmelidir. Grup şirketlerinde, her bir şirket bağımsız tüzel kişi olduğundan her bir ayrı şirket için irtibat kişisi atanmalı ve bildirim yapılmalıdır.
Üst başlıklardan oluşmak üzere toplam 25 veri kategorisi yer almaktadır, veri sorumlusu nezdinde işlenen veri kategorileri seçilmelidir. Üst başlık içinde yer alan verilerden sadece bir tanesi bile işleniyor olsa dahi ilgili veri kategorisi seçilmelidir. Örneğin; “kimlik verileri” üst başlığı altında sadece “ad ve soyadı” verisi işlenip diğer veriler işlenmese dahi ilgili kategori seçilmelidir.
Sonraki adımda, kişisel verilerin işleme amaçları her bir veri kategorisi altında özel olarak seçilecektir.
Üçüncü adıma, verilerin saklama süreleri seçilmelidir. Üst başlık altında yer alan verilerin farklı saklama süreleri mevcut ise bunlardan en uzun olanı bildirilmelidir. Bu bölümde el ile süre girilmesi de mümkündür, buna karşın “süresiz” gibi belirsiz zaman dilimlerine yer verilmemesini tavsiye ederiz.
Dördüncü adımda, verilerin aktarıldığı üçüncü kişiler seçilecektir. Bu bölümde de seçimler kişi grupları şeklinde gerçekleştirilecektir. Örneğin; tedarikçiler, grup şirketleri vb.
Beşinci adımda, yabancı ülkelere veri aktarımı söz konusu ise hangi veri gruplarının yurtdışına aktarıldığı işaretlenecektir.
Son adımda ise veri korumaya yönelik alınan idari ve teknik tedbirler seçilecektir. Bu adımların tamamlanması üzerine veri bildirimi tamamlanmış olacaktır.
Her bir bildirim adımı için olumlu ve olumsuz olmak üzere iki bildirim şekli bulunmaktadır, bunlardan birisi mutlaka seçilmelidir. Örneğin; yabancı ülkelere aktarım aşamasında işlediğiniz hiçbir veri yurtdışına aktarılmamakta ise hiçbir verinin yurtdışına aktarılmadığı şeklinde seçim yapılmalıdır.
Bildirimler her zaman güncellenebilecek olup kamuya açık olacaktır. Buna karşın bu bildirimler, veri envanteri niteliğinde olmayıp veri envanteri Kurul tarafından talep edildiği takdirde ibraz edilecek ve kamuya açıklanmayacaktır.

* Söz konusu etkinlik İbn-i Haldun Üniversitesi ve RSK Veri Güvenliği ve Danışmanlık Hizmetleri A.Ş. tarafından gerçekleştirilmiştir.